TechFusion.ruКомпанииGDPR вступает в силу: что это за 4 буквы и зачем о них знать

GDPR вступает в силу: что это за 4 буквы и зачем о них знать

GDPR

Общий регламент по защите данных — General Data Protection Regulation, GDPR — вступает в силу сегодня

С 25 мая 2018 года в странах ЕС вступает в силу  «Общеевропейский регламент о защите персональных данных» (General Data Protection Regulation, GDPR), который вносит достаточно серьезные изменения в правила управления и обработки персональных данных. Принцип действия у нового регламента экстерриториальный, что значит, касается он не только компаний из ЕС. 

GDRP

Основатель системы управления правами на результаты интеллектуальной деятельности IREG Галина Добрякова. Фото предоставлено пресс-службой

Основатель системы управления правами на результаты интеллектуальной деятельности IREG Галина Добрякова объясняет, как GDPR повлияет на бизнес компаний, чьи пользователи могут находиться в странах ЕС.

Согласно GDPR, гражданам должны предоставлять информацию о правилах обработки их данных в понятном и доступном виде, брать у них согласие на обработку данных в виде «четкого утвердительного акта в письменной или устной форме», а также предоставлять им возможность отказаться от передачи данных без ущерба для совершения действий. Разумный подход к защите данных позволит гражданину обеспечивать свою информационную безопасность. А право на забвение позволит исправить сведения, которые уже не соответствуют изменившейся личности человека. 

С позиции развития технологий появление подобного регламента может повлечь за собой дополнительные риски для российского бизнеса и поспособствовать сохранению отставания от Китая, который обучает искусственный интеллект на больших данных, не переживая по поводу нарушения закона. Но настолько ли велика опасность? Ведь закон РФ о персональных данных очень похож на GDPR, только штрафы меньше. 

К какой сфере обработки данных относится закон?

Закон относится к автоматизированной и автоматической обработке персональных данных — то есть ко всем тем случаям, когда данные используются в информационных и аналитических системах. То есть, это коснется любых коммерческих организаций, осуществляющих в интернете продажу товаров или услуг и предоставляющих доступ к облачным сервисам и платформам. Для IT- и Ligaltech-компаний это затронет все проекты, которые работают с большими данными на территории стран Европейского Союза.

Как подготовиться Российским компаниям?

Как говорилось выше, российское законодательство о персональных данных очень похоже на GDPR. Так что, как правило, на сегодняшний день компании уже имеют соответствующие инструменты — политику обработки, запрос согласия на обработку данных (пользователь должен подтвердить любым действием свое согласие), набор технических настроек в личном кабинете сайта и идентификацию через известные системы (аккаунты). 

Если что-то и нуждается в «докрутке», то это механизм обратной связи по вопросу использования уточнений и удалений персональных данных, а также других способов входа в систему (как вход через Facebook или учетную запись Microsoft). Несоблюдение регламента GDPR может грозить штрафом в размере до 20 млн евро или 4% от оборота компании. В качестве защиты от штрафов по GDPR компании могут хранить базу данных отдельно от программы, которая осуществляет взаимодействие с пользователем. 

Безусловно стоит позаботиться и об обучении сотрудников принципам GDPR. Помимо изменений в процессах работы компании, нужно изменить регламент технической поддержки, чтобы выполнить требование о сообщении в течение 72 часов об утечке данных в Роскомнадзор, а также защитить базу персональных данных режимом коммерческой тайны, чтобы иметь возможность привлечь к ответственности виновных лиц.

В каких случаях обработка данных не подпадает под действие закона?

Закон также устанавливает ряд случаев, когда согласие не требуется и обработка данных не приводит к нарушению законодательства.  GDPR закрепляет ряд ситуаций на которые закон не распространяется и это открывает для российских компаний возможность использовать положения статьи 2 для своей защиты от штрафов.  Например, это случаи когда физическое лицо обрабатывает информацию в личных целях и для всех случаев, когда это нужно для защиты общественной безопасности.

Как может измениться развитие отрасли?

На Санкт-Петербургском экономическом форуме замминистра связи и массовых коммуникаций РФ Алексей Козырев заявил, что отрасль нуждается в создании специализированной площадки, которая снизит риски работы с персональными данными. Основная задача такой площадки — взять на себя роль «цифрового двойника» человека, дав ему возможность совершать сделки, не беспокоясь за свои данные. Это будет удобно для пользователя и безопасно для отрасли. Именно так и сформируется удобная инфраструктура для цифрового настоящего.

 

Фото на обложке: pixabay.com